IECacheView
소개[편집]
IECacheView는 Nirsoft에서 무료로 제공하는 Internet Explorer 캐시 분석 도구이다. 최신 업데이트 일자는 2014년 1월 19일이며, 최신 버전은 1.53이다. 본 항에서는 최신버전인 1.53을 기반으로 보고서를 작성하였다.
IECacheView는 Windows환경에서 실행 가능하며, Internet Explorer의 캐시를 파싱한다. IECacheView는 GUI와 CLI 모두 지원하며, 파싱한 결과 값을 HTML, XML, CSV, TXT 파일포맷으로 저장할 수 있다.
IECacheView 실행 화면은 [그림 1]과 같다.
사용법[편집]
IECacheView를 실행하면 Internet Explorer의 기본 캐시 저장 경로에서 캐시 파일 정보를 파싱해온다. Internet Explorer의 캐시 기본 경로는 %UserProfile%\AppData\Local\Microsoft\Windows\Temporary Internet Files다. 사용자가 파싱 경로를 지정할 수 있으며, 경로는 File탭의 “Select Cache Folder”항목을 선택하여 지정할 수 있다. IECacheView는 CLI도 지원하며 옵션은 [표 1]와 같다.
| 옵션 | 설명 |
|---|---|
| /stext <Filename> | 일반적인 text 파일로 저장 |
| /stab <Filename> | 탭으로 구분된 text 파일로 저장 |
| /scomma <Filename> | comma로 구분된 text 파일로 저장(csv) |
| /stabular <Filename> | 표 형식의 text 파일로 저장 |
| /shtml <Filename> | HTML 파일로 저장 (수평) |
| /sverhtml <Filename> | HTML 파일로 저장 (수직) |
| /sxml <Filename> | XML 파일로 저장 |
| /sort <column> | 열을 오름차순 또는 내림차순으로 정렬 <column>에는 열 번호(0부터 시작)나 열 이름(“Content Type”)을 넣음 내림차순으로 정렬할 경우에는 <column> 앞에 ‘~’을 붙임 |
| /nosort | 열을 정렬하지 않음 |
| -folder <Cache Folder> | 특정 캐시 폴더로 IECacheView 시작 |
| /copycache <URL> <Content Type> | 조건에 맞는 캐시 파일을 특정 폴더 안에 복사 <URL> : 캐시 파일 복사 대상이 되는 사이트 <Content Type> : 캐시 파일 종류 |
| /CopyFilesFolder <Folder> | 캐시 파일을 복사할 폴더 지정 |
| /UseWebSiteDirStructure <0 | 1> | 파일을 웹사이트의 디렉터리 구조로 저장 (0 = 아니오, 1 = 예) |
| /UpdateModifiedTime <0 | 1> | 웹서버 수정 시간에 맞춰 복사된 파일의 수정 시간을 변경 (0 = 아니오, 1 = 예) |
| /NewNameIfExist <0 | 1> | 파일이 존재하면 새 이름으로 복사 (0 = 아니오, 1 = 예) |
도구 기능[편집]
IECacheView가 파싱하는 정보는 [표 2]와 같다.
| 항목 | 설명 |
|---|---|
| Filename | 캐시 파일명 |
| Content Type | 캐시 파일 종류 |
| URL | 캐시 파일을 다운로드한 URL |
| Last Accessed | 최종 접근 시간 |
| Last Modified | 최종 수정 시간 |
| Expiration Time | 캐시 만료 시간 |
| Hits | 사용 횟수 |
| File Size | 캐시 파일의 크기 |
| Subfolder Name | 캐시 파일이 저장된 폴더 이름 |
| Full Path | 캐시 파일 경로 |
IECacheView는 캐시 목록에서 원하는 문자열을 검색할 수 있는 검색 기능과 선택한 캐시 목록을 바로 HTML파일포맷으로 저장하는 HTML 리포트 기능이 있다. 또한 웹 브라우저로 캐시 파일의 URL을 열어보거나 시스템에 설치된 프로그램으로 캐시 파일을 볼 수도 있다. 저장할 수 있는 파일포맷은 Text File(txt), Tab Delimited Text File(txt), Tabular Text File(txt), Comma Delimited Text File(csv), HTML File – Horizontal(html), HTML File – Vertical(html), XML File(xml)이다.
제한사항[편집]
IECacheView는 웹브라우저 중 Internet Explorer에만 분석이 국한되어 있으며 카빙 기능이나 추가적인 기능이 없다는 단점이 있다.
수사 활용 방안[편집]
IECacheView는 포터블이고, 빠르며 직관적인 도구이기 때문에 초기 수사 시 활용될 수 있다.
